La faille TrustedVolumes n’a pas touché directement 1inch, mais elle expose une zone grise de la DeFi : celle des prestataires externes qui exécutent une partie critique des échanges. C’est précisément ce qui rend l’affaire importante. Le protocole principal peut rester intact, tandis qu’un maillon périphérique concentre assez de permissions et de liquidité pour créer une perte majeure.
Une attaque à 6,7 millions de dollars, mais pas contre 1inch
L’exploit visant TrustedVolumes a entraîné environ 6,7 millions de dollars de pertes, selon les éléments confirmés par le teneur de marché. Les fonds volés seraient répartis sur trois adresses Ethereum, dont deux portefeuilles proches de 3 millions de dollars chacun.
Pour comprendre l’enjeu, il faut revenir au rôle des market makers dans la liquidité crypto. Ces acteurs ne sont pas toujours visibles pour l’utilisateur final. Pourtant, ils peuvent devenir essentiels dans l’exécution des échanges, surtout lorsque les volumes augmentent.
Le point important est ailleurs. 1inch affirme que ses protocoles, son infrastructure et les fonds de ses utilisateurs n’ont pas été affectés. La plateforme juge donc trompeuse l’idée d’une faille directement liée à son propre système.
TrustedVolumes intervient comme résolveur et teneur de marché indépendant. En clair, il aide à exécuter certaines transactions, mais il n’est pas 1inch. C’est cette séparation qui rend l’affaire plus subtile qu’un simple piratage de protocole.
Les résolveurs, ce maillon discret qui devient sensible
Dans la DeFi, tout ne se joue pas dans le protocole principal. Les routeurs, résolveurs, proxies et teneurs de marché peuvent aussi porter une part du risque. Ils travaillent souvent dans l’ombre, mais manipulent parfois des flux importants.
Selon Blockaid, l’attaque aurait visé une infrastructure de swap personnalisée contrôlée par TrustedVolumes. L’estimation initiale parlait d’environ 5,87 millions de dollars, avant que TrustedVolumes ne confirme un montant plus élevé.
CertiK avance un mécanisme précis : l’attaquant se serait enregistré comme signataire autorisé via une fonction publique. Il aurait ensuite utilisé cette autorisation pour déplacer des fonds déjà pré-approuvés.
Ce détail est essentiel. Dans la DeFi, les autorisations accordées à des contrats peuvent survivre longtemps après une interaction. Elles dorment, puis se réveillent au pire moment.
C’est l’une des grandes différences avec une finance classique. Un utilisateur peut penser qu’une transaction est terminée. En réalité, une autorisation on-chain peut continuer d’exister tant qu’elle n’est pas révoquée.
1inch protège son périmètre, mais l’image prend le choc
1inch a rapidement cherché à couper le lien direct entre son protocole et l’incident. La plateforme rappelle que TrustedVolumes est un fournisseur indépendant, utilisé par plusieurs acteurs du secteur, et non un service exclusif à 1inch.
Cette réponse est logique. Dans un marché encore nerveux, le mot “hack” colle vite à la marque la plus connue. Même quand le cœur technique n’est pas touché, la réputation encaisse une partie du choc. Le cofondateur de 1inch, Sergej Kunz, insiste aussi sur cette distinction. Selon lui, présenter l’incident comme une faille 1inch crée une confusion nuisible. Le message est clair : l’incident concerne un partenaire d’exécution, pas le protocole lui-même.
Mais pour les utilisateurs, la nuance reste difficile. Quand une transaction passe par plusieurs briques, peu de gens savent où commence et où finit la responsabilité de chaque acteur.
Ce sujet rejoint une question plus large : dans une crypto de plus en plus fragmentée, la décentralisation réelle dépend aussi des dépendances invisibles. Un protocole ouvert peut encore s’appuyer sur des opérateurs, des interfaces ou des prestataires qui concentrent du risque.
Un avertissement pour toute la DeFi
Cette affaire rappelle une réalité simple : la DeFi ne dépend pas seulement du code visible. Elle dépend aussi des intégrations, des contrats tiers et des pratiques opérationnelles. Le risque ne disparaît pas parce qu’il est externalisé.
Le chercheur Vladimir Sobolev estime qu’il n’y avait pas de risque direct pour les utilisateurs de 1inch. Il voit pourtant dans cette faille un symptôme plus large : la DeFi doit mieux surveiller ses circuits d’urgence, ses autorisations et ses mécanismes de blocage. L’affaire est d’autant plus sensible que Blockaid et Sobolev relient l’attaquant à l’exploitation du résolveur Fusion V1 de 1inch en mars 2025. Cette fois, la vulnérabilité serait différente. Mais le signal reste inquiétant.
La leçon est donc nette. Les protocoles peuvent être solides en façade, mais fragiles dans leurs dépendances. Et dans la DeFi, une dépendance mal surveillée peut devenir une porte d’entrée.
Les autorisations restent le talon d’Achille
Le cas TrustedVolumes rappelle aussi que les approvals sont un sujet de sécurité majeur. Beaucoup d’utilisateurs et même certains acteurs professionnels laissent des permissions trop larges à des contrats. Tant que tout fonctionne, ce confort paraît rationnel. En cas de faille, il devient explosif.
Cette logique avait déjà été visible dans d’autres dossiers de sécurité crypto, notamment avec les dépendances cross-chain et les couches de confiance extérieures au protocole. Notre article sur Kelp DAO et les ETH gelés montrait déjà que les incidents crypto dépassent souvent le simple code on-chain.
La DeFi doit donc avancer sur deux fronts. Elle doit auditer les smart contracts principaux. Mais elle doit aussi auditer les intégrations, les signataires, les résolveurs, les contrats auxiliaires et les procédures de crise.
Un protocole peut être robuste. Son écosystème peut ne pas l’être autant. C’est cette différence qui fera probablement la qualité des infrastructures DeFi dans les prochaines années.
En bref
- TrustedVolumes a confirmé une faille estimée à 6,7 millions de dollars.
- 1inch affirme que ses protocoles et les fonds utilisateurs n’ont pas été touchés.
- L’incident relance le débat sur les risques liés aux prestataires tiers en DeFi.
